セキュリティ初心者質問スレッド Part144
レス数が1000を超えています。これ以上書き込みはできません。
初心者の方の為のインターネットとパソコンのセキュリティについてのスレッドです
自習を出来るリンクも紹介していますので自衛のご参考にして下さい
━ *質問マナー ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
・ アドバイスをもらう為に、「質問用テンプレート」を使って質問しましょう
・ 2回目以降の発言書込は、名前欄に「最初に質問した番号」を半角英数字で入力して下さい
・ アドバイスする方は、解りやすい説明をしてあげて下さい
・ 他から誘導されて来た場合は、その旨書いておきましょう
・ ここは2ちゃんねるですので、正しい解答ばかりとは限りません (用心しましょう)
・ ここにサイトURLを示す場合、先頭のhを抜いてリンクして下さい
━ 質問用テンプレート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【使用OS】 『』 例、Windows 7 Home Premium 64-bit 、XP Home SP3
【PCスペック】 『CPUの種類: GHz 、メモリ: MB』 (「システムのプロパティ」で確認)
【使用ブラウザ】 『』 例、Internet Explorer 8
【セキュリティソフトと年式】 『』 例、○○○○ 2011
【その他スパイウェア対策ソフト】 『』
【具体的な症状】 『』
【過程と措置】 『』
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Windows オペレーティング システムが32 ビット版か 64 ビット版かを確認する方法 (XP proやVistaやWindows 7の方)
ttp://support.microsoft.com/kb/827218/ja
セキュリティ初心者質問スレッド Part143
http://medaka.2ch.net/test/read.cgi/sec/1625435767/ >>951
君ではなく、ちゃんとした調査ができる人に相談するように伝えてください ChatGPTはこんな回答出してます。アカウント情報を乗っ取られて、数千通以上メールを送っていたけれど、
メールサーバーが異常を検知して知り合いのメールアカウントからの送信を停止して、それで今
「Undelivered Mail Returned to Sender」届かなかった分送り返されているのではないでしょうか。
https://imgur.com/a/FdARgnX
パスワードの変更の他には、その送った宛先のメールアドレスもエラーメッセージのメール中にあると思うので、
その中に同僚や知り合いのメールアドレスがあったら報せておく必要があると思います。
その数千通の宛先が顧客だったりの可能性もあるかもです >>949 たんに、メールアドレスを盗用されただけですかね・・・
From行の偽証はとても簡単でFrom:タグの後に適当なメールアドレスを書けばいいだけで
普通のメーラーでも簡単にできます
この場合は踏み台とはあまり言いません「アドレスの盗用」です
注意するのは、現在進行形でビジネスメール詐欺やEMOTETの攻撃中という可能性があります
ビジネスメール詐欺やEMOTETの攻撃では、こういう形で攻撃中である事が露見する場合があります
比較的古いパソコンがハッキングされるとすでに未使用のアドレスに対しても詐欺メールが発信されます
その返答が、「Undelivered Mail Returned to Sender」になります
「Undelivered Mail Returned to Sender」の情報から盗用されたパソコンの目星が付く場合もありますので
その手のロジックを理解できる人に解析してもらうのもいいかもしれません
対応策としては、メールアドレスの変更ですが・・・
「Undelivered Mail Returned to Sender」のエラー分が届かなくなるだけで、
・不正な詐欺メールは送り続けられる
点を忘れてはいけません、つまり届いてしまう2次被害者に「盗用利用されている」という情報を伝えるのが
ビジネス的には押さえるポイントだと思います
これをせずに、自分に「Undelivered Mail Returned to Sender」が来なくなった 「はぁ良かった」で終わりにするのは
信頼関係としては全くダメです、届いている人への責任放棄でしかありません
相手の立場や役職にもよりますが、もう少し踏み込んで調査・対応策の検討をした方が良いかもしれません 会社の業務内容に関わることなので、会社のセキュリティ担当者の方に相談した方がいいと思います。
インシデントとして公表したくない気持ちもあって>>951さんに相談してるのかなと想像しますが… >>952
ごもっともです。IPAの相談窓口等は知らせています。また侵害調査を依頼する場合に備えて、 途中で送信してしまいました。
また侵害調査を依頼する場合に備えて、LANケーブルは抜いて、PCの電源は切らないように言っています。 >>954
メールヘッダーのReceivedの一番下の情報のPostfixのホスト名が、その会社のサーバー名に
なっているのですが、その場合はやはり踏み台にされていると考えていいでしょうか。
知り合いの会社は中途半端に大きい会社で、システム担当者はいません。知り合いは専門家に
依頼する稟議を上げるにあたって、感染等のインシデントがなかった場合の事を心配しているようです。
いずれにしても再度、専門家に相談するように伝えて、後の対応は任せます。 >>958 メールホスティングじゃなくて、自社でメールサーバーを運営してるの?
それなら踏み台にされてるのかな
https://rin-ka.net/relay-mail-check-test/
第三者不正中継チェックサイトの一覧
http://check.jippg.org/
http://www.antispam-ufrj.pads.ufrj.br/test-relay.html
でその会社の人に、自社のメールサーバーの確認テストを実施してもらってください
また、そのメールサーバーがインターネットからSMTP/POPできるようにしてるんでしょうか?
許可している場合は、エラーメッセージが届いた人のID/PASSが漏洩してますし
その人のメールボックスも盗まれている可能性があります
利便性は落ちますが、この被害が出た場合には一旦社外からのSMTP/POPは止めてVPNなどを介する
セキュリティ強度を上げる対策をするべきです(もしくはホスティングにすべき)
自社のオンプレミスメールサーバーがあるのにシステム担当者が居ないってのはよくわからないです
どうやってメールサーバーを構築してるんでしょう?
箱もののメールサーバーなのでしょうか?(それにしたって管理者は必要なはずですが・・・) >>959
不正確な書き方をして申し訳ございません。オンプレミスサーバではありません。
ホスティングサービスの共用サーバを借りて、独自ドメインの運用をしています。
ですのでインターネットからのPOP/SMTPの利用になります。最初に書きました
ように、OP25Bの設定がありますので、ID/PASSが流出してますよね。フィッシング
で流出したならまだマシですが。。。。 >>960 ですよね、ホスティングなら踏み台なんか普通はありえません
先に書いたようにアドレスの盗用です
ID/PASSの変更は、その人だけの問題は解決しますが
それ以外の問題がなにも片付いていないので情報流出に関して調査が必要だと思います
ホスティングであれば、ログを確認すればアクセス時間やどんなデータが抜かれたかも
判りますので、そこから調査を進める必要があります
会社であればHP上で状況報告するべき「重大なインシデント案件」だと思いますので
PASS変更だけで終わらせないよう注意したほうが良いでしょう
流出した情報によっては「なにも対策しない」事が会社の社会的信用を失墜させる事
になりますので、十分注意するように知人には連絡してください
ちなみに、OP25B自体は盗用対策には何の意味もありません
今どきOP25Bは当たり前で盗用する全てのハッカーがOP25Bに対応済です
盗用対策として一般的なのは、IPフィルタリングです
会社の固定IPでしか接続できない設定にして、会社のLANをVPNを仕掛けて
いったん会社のVPNに接続しない限りホスティングのメールにアクセスできないように
する構成です
もしくは、2段階認証のメールホスティングを利用するになります スレちかもしれませんが電話番号で0800〜から始まるフリーダイヤルと080〜から始まる携帯の番号て何が違うんですか?
セキュリティ業者のサイトの連絡先が0800から始まっているものが多く詐欺みたいなところにしか見えません 0120が枯渇したので0800が使われるようになったダケ フリーダイヤルと携帯電話の番号と見分ける方法はないのでしょうか 携帯電話の番号の割り当ては080-1~080-9から始まるので、
「0800」と表示されてたらフリーダイヤルと判断してokです ソースの閲覧権限を攻撃者に取得されるというのは最悪ではありません。
最悪は実行権限を取得されることです タイトルに書いてあんじゃん…
「PC起動時にWindowsへマルウェアをインストール」される可能性がある
該当ドメインを必要ないときにDNSで引けないようにしとけ >>971
ありがとうございます。BIOSにパスワードを設定、UEFI内の「APP Center Download & Install」を無効化する、
もありますね。PFSenseを使っている身としては、
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 は、 61.194.99.178
https://software-nas/Swhttp/LiveUpdate4 はIPアドレスが引けないですが、WindowsのFWのフィルタ設定かPFSense側でBlockで対処できそうですね。
私のAsrockもLiveUpdateみたいなアドレスがあるかもなので、調べて設定しておけばいいかもしれないです
ちなみに、Windowsのアプリを使ってBIOSのアップデートができるものもありますが、もしBIOSパスワードを設定していた場合は、
その際パスワード認証を求められるでしょうか? >欠陥は200以上のモデルで確認されており、迅速なファームウェアアップデートが推奨されています。
さっさと公開されている最新のBIOSへとアップデートする事
>「%SystemRoot%\system32\GigabyteUpdateService.exe」
このサービスがWebサーバーへとアクセスしないように設定しておけばいいって事 Asrockマザーの方は調べてみましたが最新バージョンのOSはまだ更新されてないみたいです。
GIGABYTE以外でも見つかるかもしれず、発見された段階で更新されるのかもですね
個人的に気がかりになっているのは、マルウェアを入れた攻撃者が改造BIOSをWindows上でM/Bに入れて、
それ以降いくらWindowsをクリーンインストールし直してもマルウェアが自動で入れられるという仮定なのですが、
それをBIOSのパスワード認証で防げるのかどうか…、ちょっと調べておこうと思います。ありがとうございました~ 調べろ 素人
昔からBIOSの更新とは、起動時にメモリバッファへと設定した更新ファイルをファームウェア側で署名チェックなどをして
更新していいものかは判断している
更新後は起動する前に、2度程更新されたBIOSの中身をチェックしてから再起動に入るようになっている
CRCチェックでエラーとなった場合にはBIOSの更新は行われない
結構と堅牢化している現状のUEFIファームではウィルス起因による更新ではまず失敗する 教えていただいてありがとうございます。なにぶん知識が少ないので…そこから想像するぐらいしかできないです。
指摘されている署名チェックとCRCチェックもすり抜けてくる技法もどこかにあるのかなと思っていたのですが、
まずそのようなことはあり得ないですよね。
その上で、AsrockやGIGABYTEのサーバーから署名とCRCチェックの適合データを入手した誰かがいて、
一度感染させたPCにLiveUpdateアプリ経由でBIOSアップデートをされたらどうなのかなと、小説じみたことを考えてました。
そこで、初期セットアップ時にBIOSサイドでスーバーバイザパスワードを設定していて、LiveUpdate時にそれを求めるように
していたらそのような攻撃手法はパスワードを知らなければ通らないと考えてました。でも、そのようなことは考えなくてよさそうですね。
ろくに調べもせず、失礼しましたm(_ _ )m マザーメーカーの社員かその家族の誰かがTikTokを入れていたりなんかしていたら、そこを手がかりに。みたいなことを想定はしてました。
でもそんなことは、どの会社も専用スマホなり端末なり導入しているだろうし、簡単には閲覧できないか… 責任分岐点として、自分に非が無いならそれほど神経質にならんでも良いと思うけどね
できる範囲で対策して、それで抜けてこられたらどうしょもないじゃん
BIOSアップデートに関してはLAN機器の脆弱性対策は例外として、M/B等の場合
・特別困っても居ないのにBIOSアップデートなんかしない
が正しくて、常に最新にする必要のない機器のBIOSなんか無視してりゃいいだけの話だろ >>982
スレ立てthx ('ω')b
マザーのBIOSはまぁ、あんまり気にしても仕方がないかもですね… 初めまして わりとてんぱってます。
Amazonで覚えのないもの{具体的には4000円くらいのお菓子}が籠に入っており、
あとで買う、に同一のお菓子{具体的には先ほどのお菓子1000個}があとで買うに
入っていました。パスワードを変更して カスタマーサポートに連絡しましたが
不正アクセスはない、とのこと。どんなトラブルが考えられますか?同居人はいません。 >>984 可能性として一番高いのは、Amaのバグです
ハッキング・アカウント盗用ならもっと危険な状況になってます ご返信ありがとうございます。実はこういったことは二回目です。
一度目は覚えのないもの{Amazonギフト5万円}がカートに入っており、特に
気にすることもなく削除したら、その後しばらくしてまたカートに入って勝手に
購入手続きされた直後にAmazonから自動でログアウト、メールで「ハッキングされた
可能性がある」とのことで、以降5日ほどログインできませんでした。それからカード番号
を変え、当然Amazonのパスワードも変更しました。
それと今回のことの相関関係は不明ですが、お菓子1000個{一つが6個パックのもの
なので合計6000個}とは明らかに悪意があります。
考えられるのは 二日ほどまえにぼくのAmazon欲しいものリストから、どなたかが
280円の生活雑貨を送ってくれたのです。たしかその方は「きみの実名も見えた」と
言っていたのでわりと細かいことまでみえたのかもしれません。ぐぐると今のAmazonの
仕様っぽかったです。Amazonの欲しリスから いたずら出来るのか、とAmazonの
サポセンに問い合わせたところ「できないと思う」との回答でした。ただ外国人の回答者
でそれほど詳しそうにもなかったのでもしかしたら欲しリス経由でいたずらできるのかもしれません。 続きです。Amazon欲しリスに リストを共有してる相手なら送りたいものを
追加できるはずです。がカートや あとで買う、に追加できるのかはAmazonは
否定しています。
前回のアマギフ五万円事件と共通しているのは カートと あとで買うに 各々
入っていたことです。なんか疲れました。ご返信本当にありがとうございます。
ちょっと休んで{今後のこともあるので}考慮します。Amazonのバグだといいんです
けどね。 Amazonのバグでなく誰かのいたずらだった場合…
注文確定ボタンを押して発送までさせてたら刑法に引っかかる恐れがあるから、
カートに入れるまでで収めておいただけの可能性もありますね。
カスタマーサポートセンターに電話で連絡して、他人のPC経由でログインされていたかどうかの確認と、
そのお菓子がカートに入れられた時の時刻を特定してもらってはどうでしょう。二度目の犯行があったとのことなので、
ちゃんと証拠を取って備えておくと、>>987さんを監視している人への牽制にもなると思います ご返信ありがとうございます。Amazonのカスタマーサービスはほぼ外国人で
殆ど伝わりません。疲れました。Amazon側は全く異常を感知しませんでした。
割と神経まいりますね。 OSのサポートの切れたノートパソコンを語学系の本を買った時のCD再生用として使い続ける際に気をつけることありますか?
Wi-Fiの接続先の家庭のネットワーク登録は削除して一応Wi-Fi使用不可になってます >>990
CDの裏表は間違えやすいので気をつけます >>990 LANに接続しないならセキュリティ上の脆弱性はかなり軽減できる
ただ・・・それって磯にしてタブレットとかで再生する方が汎用性が高くて良いんじゃないかなとは思う
サポ切れ時代のパソコンは起動遅いしね >>990
確実にネットワークから隔離されているのであれば心配しなくて大丈夫だと思います。
ありえない話としては、CDのAutorun.exeからCDの中に入っているウィルスが起動してマルウェアをインストール、
WiFiを勝手にONにして探索・クラッキングをしてWiFi接続まで行い、ノートPCでしていることやカメラの映像、
マイクも内蔵していれば音声も拾って攻撃者に送信するかもしれません。
でも、語学用の本付属のCDでそんなものを入れてくる出版社は無いと思っていいので、
セキュリティ的には十分安全だと思います。 >>995
CDが爆発する危険もあるよ?
消火器も用意しないと。 >>996
CDにどうやって爆薬を仕掛けて、輸送中に爆発させず、DVDドライブにセットして読み込ませた段階で
爆発させるのか知りたいですね…作るのって非常に大変だと思うんですが でも、>>996さんの言いたいことは>>995みたいなことするやつはまずいない、見たことないってことですよね。
CIAかよというレベルの話だと思います。LANに繋いでいなければ問題はない、が妥当な答えかと… このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 344日 7時間 23分 3秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。
